【JS】JS获取cookie里的csrftoken并添加到header里

最新推荐文章于 2024-05-08 21:32:47 发布
最新推荐文章于 2024-05-08 21:32:47 发布
阅读量3.9k 收藏 4
点赞数 1
分类专栏: 前端开发 Django开发 文章标签: cookie jquery javascript 正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lvluobo/article/details/108082612
版权

Django需要csrftoken来进行CSRF的防御

既然是前后端都自己写,肯定不能整@csrf_exempt这样的办法

JS用正则表达式获取cookie

var regex = /.*csrftoken=([^;.]*).*$/ ;
var xCSRFToken = document.cookie.match(regex) === null ? null : document.cookie.match(regex)[1]

cookie的样式

Cookie: sessionid=tc3prqefkjt7f6xqmip1qskzyq0y0vwn; csrftoken=2IWCjzAvDpzk55NGRozbNqDulhg362n1UNIDOdtRMJsvFFW1bg3rLGZl39nDwlc2

在ajax里加入

headers: {
    "X-CSRFToken":xCSRFToken
},

这样就把csrftoken加入到了headers里面

这个方法,其实是从postman里搞出来的.

在postman里加入csrftoken成功,仿照着postman的数据样式,成功拼接到了csrftoken.
这是一个以前同事教我的办法

之前写过的关于postman设置csrftoken的方法

今天百度百度,居然百度到了自己以前写过的教程,也是很神奇.

网上的jquery.cookie.js,我也下载了,下载了两个版本GitHub的,网站上的,导入后,一直报错,没有$.cookie的方法,实在没辙,只好写正则表达式了…

10相濡以沫
关注
专栏目录
python csrf token_使用python请求和csrf-token登录
weixin_42509614的博客
02-09 1261
我正在使用python的请求模块尝试登录网页 . 我打开一个requests.session(),然后我得到了一个元组件中包含的cookiecsrf-token . 我使用用户名,密码,隐藏的输入字段和元标记中的csrf-token构建我的有效负载 . 之后,我使用post方法,我通过登录URL,cookie,有效负载和 Headers . 但之后我无法访问登录页面后面的页面 . 我究竟做错了...
【Django】关于postman设置 csrf token
10相濡以沫
04-25 6082
文章目录 目前开发django,有csrf防护的存在,在使用postman测试的时候,登陆会出现403 forbidden. 需要在headers面加入一个 “X-CSRFToken” 需要加入token 使用postman自动获取cookie中的csrftoken,并将该值自动设置到后续请求的header中。 为了自动化地设置这个token,需要使用postman的“Tests”功能。Post...
原生js获取cookie获取scrf防跨站攻击token
qq_38355456的博客
09-27 1665
var _csrf = (/_csrf=[^;]+;?/i).exec(document.cookie); if(_csrf) { _csrf = _csrf[0].replace('_csrf=', '').replace(';', ''); }
js拼接html表单csrf_token,如何在javascript中使用{%csrf_token%}
weixin_36033929的博客
06-19 540
在我的用户页面中,我使用ajax进行编辑.当我点击编辑时,它工作正常.但是当我提交表格时,它什么也没做.当我检查时,这是错误:CSRF验证失败.请求中止.那么,我如何在我的javascript中放置{%csrf_token%}?请指教.谢谢.edit.js:function bookmark_edit() {var item = $(this).parent();var url = item.fi...
CSRFJSONP设置header问题
Js_123456789的博客
06-11 1083
关于前端发起请求 问题一 JS发起请求的方式 方法一 JS代码中发起请求的方式普遍为AJAX 该技术在 1998 年前后得到了应用。允许客户端脚本发送HTTP请求(XMLHTTP) 方法二 script标签请求 方法三 通过HTML的方法 通过js自动在jsp中创建一个form表单,并给其method属性为post function post(URL, PARAMS) { ...
token值的保存以及在header中传入使用
Locker的博客
08-08 4248
一般登录的时候系统后台会返回一个token值,我们可以新建一个utils工具类文件夹,放置例如token.js之类的处理文件 exportfunctionsetToken(token){ returnsessionStorage.setItem(tokenkey,token) } exportfunctiongetToken(){ returnsessionStorage.getItem(tokenkey) } exportfunctionremoveToken(){ ...
csrftoken
rikka
10-28 1147
csrftoken CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。 解决csrf攻击的最...
ajax post csrf,django文档中介绍的处理ajax_post时,头中添加csrf_token的方法
weixin_42347750的博客
08-06 302
AJAX¶While the above method遇新是直朋能到 can be used for AJAX POST requests, it has someinconveniences: you have to remember to pass the CSRF token in as POST data withevery POST request. For this reason, t...
ajax如何加csrf,Ajax请求如何设置csrf_token
weixin_35208812的博客
08-05 1678
1. 方式一通过获取隐藏的input标签中的csrfmiddlewaretoken值,放置在data中发送。$.ajax({url: "/cookie_ajax/",type: "POST",data: {"username": "yang","password": 123,// 使用jQuery取出csrfmiddlewaretoken的值,拼接到data总"csrfmiddlewaretoke...
CSRF漏洞剖析
zmzsg100的专栏
12-04 867
CSRF的前世今生
jQuery发送csrftoken
qq765222abc的博客
03-26 660
导入jquery.cookie.js 在ajax请求中加入headers:{ “X-CSRFtoken”: $.cookie(“csrftoken”)}
CSRF 令牌 & JavaScript
weixin_30845171的博客
04-01 477
当构建由 JavaScript 驱动的应用时,可以方便地让 JavaScript HTTP 函数库发起每一个请求时自动附上 CSRF 令牌。默认情况下, resources/js/bootstrap.js 文件会用 Axios HTTP 函数库注册的 csrf-token meta 标签中的值。如果你不使用这个函数库,你需要手动为你的应用配置此行为。 从bootstrap.js中的以下...
CSRF攻击及防止
zhangmoyan9527的博客
08-14 1082
  CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。   CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证   防止 CSRF 攻...
python笔记(博客项目,文件上传注意事项,templatetags,csrftoken验证js文件,数据库导入导出)
小小龙的博客
03-16 228
1、头像上传 settings.py # Django用户上传的都叫media文件 MEDIA_URL = '/media/' # media配置,用户上传的文件都默认在这个文件下 MEDIA_ROOT = os.path.join(BASE_DIR,'media') models.py views.py js代码: {#找到头像的input标签绑定change事件#} $('#...
js提交csrf代码
douyunqian668的博客
09-25 1107
var token=$.cookie("csrftoken"); $.ajaxSetup({ beforeSend:function (xhr,settings) { if(!this.crossDomain && !csrfSafeMethod(settings.type)){ cons...
在前端JavaScript中动态获取CSRF令牌的几种方法
最新发布
qq_42214739的博客
05-08 659
通过以上任一方法,您可以在前端JavaScript中动态获取并使用CSRF令牌,以保护您的POST请求免受跨站请求伪造攻击。如果CSRF令牌已经包含在HTML页面中(通常是隐藏的输入字段),您可以直接通过DOM API获取它的值。确保在发送AJAX请求时携带CSRF令牌,无论是在请求头中还是在请求体中,这取决于服务器端的期望。某些前端框架或库可能提供了获取CSRF令牌的内置方法或插件,您可以查看您使用的框架或库的文档。在使用CSRF令牌时,避免在不安全的上下文中暴露它,如公共计算机或共享网络。
html的js提交带协议头,js 前端请求头token
weixin_39952502的博客
06-03 1106
1、Tokentoken是客户端频繁向服务器端请求数据,服务器频繁的去数据库查询用户名和密码进行对比,判断用户名和密码正确与否,并作出相应的提示,在这样的背景下,token便应运而生了。2、使用token的目的:token的目的是为了减轻服务器的压力,减少频繁的查询数据库。3、在前端请求后台的API接口的时候,为了安全性,一般需要再用户登录成功之后才能发送其他请求。因此,在用户登录成功之后,后台...
header添加自定义属性防止CSRF
lc20008的博客
09-24 8747
header添加自定义属性防止CSRF 一、 概述 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请
如何把token存储到本地和headers中
qq_43405603的博客
09-08 2157
// 发送登录请求 $.ajax({ url: '/app/login/login_pwd', type: 'post', data: {'mobile':logphone,'password':logpwd}, dataType: 'json', headers:{token:localStorage.getItem('Mytoken')?localStora...
csrftoken怎么获取
05-13
在Web开发中,CSRF(Cross-Site Request Forgery)是一种攻击方式,攻击者利用用户已经登录了某个网站的身份,去发送一些恶意请求,例如在用户不知情的情况下在其账户下发帖、转账等操作。为了防止这种攻击,Web应用程序通常会使用CSRF Token来保护用户身份。CSRF Token是一种随机字符串,用于验证请求来源是否合法。 在获取CSRF Token时,通常需要在后端生成一个Token,并将其发送到前端,前端再将其存储在Cookie中。当用户在前端发起请求时,前端会将该Token作为请求参数发送到后端,后端会验证Token是否合法。 具体获取方式可能因为不同的框架而有所不同,以下是一些常见的获取CSRF Token的方式: 1. Django框架中,可以在后端使用`csrf_token`模板标签生成Token,并将其渲染到前端页面中: ```html <form method="post"> {% csrf_token %} ... </form> ``` 2. 在前端使用AJAX请求时,可以从Cookie获取Token添加到请求头中: ```javascript function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie !== '') { var cookies = document.cookie.split(';'); for (var i = 0; i < cookies.length; i++) { var cookie = cookies[i].trim(); if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } var csrftoken = getCookie('csrftoken'); $.ajax({ url: '/some/url/', type: 'POST', headers: { 'X-CSRFToken': csrftoken }, data: { ... }, success: function(response) { ... } }); ``` 3. 在Vue.js框架中,可以使用`axios`库发送请求,并在请求头中添加Token: ```javascript import axios from 'axios'; import Cookies from 'js-cookie'; const csrftoken = Cookies.get('csrftoken'); axios.defaults.headers.common['X-CSRFToken'] = csrftoken; axios.post('/some/url/', { ... }).then(response => { ... }); ``` 以上是一些常见的获取CSRF Token的方式,具体实现方式可能因为不同的框架而有所不同。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值